El fundador de Break Security, Nir Goldshlager, el mismo que ha informado recientemente de otros fallos en redes sociales como Facebook, descubre una vulnerabilidad Oauth de Instagram que permitiría a un atacante acceder a cualquier cuenta sin el permiso de su propietario.
En este caso cualquier ciberdelincuente que aproveche este fallo de seguridad en la red de fotografía Instagram vinculada a Facebook podría acceder a fotos privadas e incluso borrar información, subir nuevas imágenes o incluso editar y borrar comentarios.
Para llevar a cabo la vulnerabilidad Oauth el atacante utiliza el parámetro «redirection_uri» que valida el sitio web indicado y que es explotado si se modificaba el sufijo del sitio especificado. Así un dominio web acabado en .com podría cambiarse a .com.es y «hackear la seguridad». El ciberdelincuente debe entonces comprar el dominio con el sufijo modificado y de esta forma robar la cuenta.
Goldshlager descubrió un segundo método para llevar a cabo la usurpación de la cuenta y demostró que es posible utilizar cualquier dominio en el parámetro «redirection_uri». Así, un atacante podría robar el «token» de sesión de cualquier usuario de Instagram.
La cuenta será robada sin necesidad de poner usuario y contraseña y por ahora no se ha encontrado solución para la misma. Los afectados sólo pueden recurrir a eliminar la cuenta mientras Instagram trabaja para solucionar el problema.